10月21日,美國司法部公布了“應對美國敏感數據面臨的國家安全風險擬議規則”(NPRM),并再次征求公眾意見。在限制中國獲取或訪問美國敏感數據方面,美國政府又往前走了一大步。
2024年2月28日,拜登政府依據《國際緊急經濟權力法》(IEEPA)發布了一項保護美國人個人敏感數據免遭“關注國家”利用的行政命令。美國司法部同時發布了執行該行政命令的擬議規則制定的預通知(ANPRM),概述了實施該命令的想法,并公開征求意見。對此,本公號在“美國限制對華傳輸數據中”進行了詳細論述,這也是本公號頗具紀念意義的第一篇10萬+。
在40天的評論期內,美國司法部收到了來自各行各業66份書面評論意見。與81頁的ANPRM相比,今天發布的NPRM長達422頁,已經是一份非常成熟的擬議規則。但需要注意的是,它仍然是一份規則草案,還沒有正式成法生效。司法部給了公眾30天(自NPRM在聯邦公報發布之日起)時間繼續提供反饋意見。
總體看,NPRM和ANPRM提出的基本思路保持了一致,在非常核心的管轄數據類型、關注國家、涵蓋的人員或實體等方面基本沒有什么變化,只是做了一些細微的調整。美國司法部將針對美國敏感數據向中國(包括香港和澳門)、古巴、伊朗、朝鮮、俄羅斯和委內瑞拉的跨境傳輸,以涉及這些數據傳輸的“交易”為抓手,設計一個雜糅了財政部經濟制裁和商務部出口管制的制度,對美國敏感數據在跨境交易中流向特定“關注國家”的主體進行管控,可以阻斷,也可以發給一般許可和特殊許可。
在這套新的管控體系下,未來美國公司可能需要制定基于風險的合規計劃,核心是美國司法部負責國家安全事務的助理司法部長Matthew G. Olsen(領導制定ANPRM和NPRM的官員)今年3月8日在美國律師協會的主旨演講中提出的四個“知道”(four knows”):
-
知道你的數據:充分了解你交易的數據類別和數量,以及你是否有適當的保障措施來確保敏感信息不會被濫用。
-
知道數據的去向:審查現有的向他人(包括廣告商、營銷人員和供應商)出售或提供數據的協議,并立即更新這些協議,以確保有信心知道數據的去向。
-
知道誰可以訪問數據:擬議的規則將適用于向總部位于中國、俄羅斯和伊朗等相關國家的非美國咨詢公司和投資者轉移數據。需要了解你提供了哪些數據,并考慮其影響。
-
知道的數據銷售:審查涉及數據銷售的任何交易,并評估是否有信心了解直接或間接打交道的任何第三方數據經紀人的業務。
以下結合ANPRM,對這個NPRM的內容進行一個介紹:
一、受管轄的數據
相比ANPRM,NPRM基本沒有變化,還是那六類“美國人的批量敏感數據”和“美國政府相關數據”,只在一些細微之處有調整。
(一)“美國人的批量敏感數據”
1、涵蓋的個人識別符:
可被用于從數據集中識別出特定個人,或將多個數據集與特定個人關聯起來。ANPRM對個人標識符進行了列舉式規定。在征求意見階段,一些評論建議司法部采用和加州隱私法或GDPR中 “個人可識別信息” 的定義,但司法部覺得范圍太寬,拒絕采納。
2、精確的地理位置數據:
ANPRM中是“地理位置與相關傳感器數據”,對“精確地理位置數據”的定義是“基于電子信號或慣性傳感裝置,以[米/英尺數]以內的精度確定個人或設備實際位置的數據,無論是實時數據還是歷史數據”。司法部吸收評論意見刪除了 “基于電子信號或慣性傳感裝置” 一詞,以便更加技術中立。在NPRM中, “精確地理位置數據” 被定義為能夠以 1000 米以內的精度確定個人或設備的物理位置的數據,包括歷史數據和實時數據,例如GPS 坐標和IP地址。
3、生物識別標識符:
完全照搬ANPRM的定義,指可用于識別或驗證特定個人的可測量的物理特征或行為,如人臉圖像、聲紋及聲音模式、視網膜及紅膜掃描、掌紋及指紋、步態、鍵盤使用模式等。
4、人類基因組數據:
采用ANPRM的定義方法,指代表構成人類細胞中整套或部分遺傳指令的核酸序列的數據,包括個人 “基因檢測”結果以及任何相關的人類遺傳測序數據。源自人類基因組數據或整合到人類基因組數據中的非人類數據,如病原體遺傳序列數據,被排除在外。其他人類 “組學” 數據。司法部透露,正在考慮在最終規則中將人類基因組數據之外的大量人類 “組學” 數據限制傳輸,可能包括人類表觀基因組數據、糖組學數據、脂質組學數據、代謝組學數據、元多組學數據、微生物組學數據、表型組學數據、蛋白質組學數據和轉錄組學數據。就這些具體概念的含義,司法部希望聽取公眾意見。
5、個人財務數據:
采用ANPRM中所考慮的方法,指與個人的信用卡、借記卡、銀行賬戶等相關的數據,包括購買和支付記錄;銀行、信用或其他財務報告中的數據,包括資產、負債、借款和交易;信用報告或消費者報告中的數據。司法部還回應一個評論的問詢澄清:個人財務數據不包括“基于該數據的推斷”。
6、個人健康數據:
NPRM的定義相比ANPRM有一些變化:和個人過去、現在或未來的身體或心理健康狀況有關的健康信息;向個人提供的醫療保健;或者過去、現在或未來為向個人提供醫療保健而支付的費用。ANPRM的思路曾經是把 “個人健康數據” 定義為 1996 年《健康保險可攜性和責任法案》(HIPAA)定義的 “可識別個人的健康信息”,“無論此類信息是否由‘受保實體’或‘業務伙伴’收集”。ANPR搬運了 HIPAA 定義的實質內容,同時提供了更清晰的解釋,明確該定義不取決于HIPAA特定的關于數據是否由”受保實體“或”業務伙伴“處理的調查。此外,NPRM不根據信息是否識別個人來定義健康信息,這也是和與HIPAA定義不同的地方。
并不是只要屬于上述數據才會落入新規管轄,ANPRM曾為各類敏感個人數據設置了不同的數量門檻,涵蓋的數據交易發生前的12個月內的任何時間點,同一涵蓋人員在所有交易中涉及的數據累計達到一定數量才能算。在ANPRM中,司法部為每個類別的數據的批量閾值設定了潛在的上限和下限,分別對應高風險和低風險,依靠數量級差異來初步判斷風險。
司法部在NPRM里說:收到的評論對批量閾值的觀點五花八門,但沒有一個提供了可操作的數據點、用例或證據來支持替代的分析框架,或支持采用這個特定閾值而不是哪一個。司法部甚至還連同商務部分別去一對一請教了對這個問題發表了評論意見的人,但一無所獲,也就是大家都不知道應該怎么來定這個閾值。最后,司法部采取的辦法是折中,除人類基因組數據因為高度敏感以及能帶來的超出反情報風險的重大額外國家安全風險,所以保持低閾值外,其他敏感個人數據類別的批量閾值大約是ANPRM中確定的初步范圍的中間數量級(例如,生物識別標識符的批量閾值是1000 名美國人,對應ANPRM里100到10000的中間數)。這樣,幾類數據的批量閾值分別是:
?人類基因組數據:超過 100 名美國人。
?生物識別標識符和精確地理位置數據:超過 1000 名美國人。
?個人健康數據和個人財務數據:超過 10000 名美國人。
?涵蓋的個人標識符:超過 100000 名美國人。
(二)政府相關數據
NPRM和ANPRM相比沒有大的變化,定義了兩類政府相關數據:
1、關于政府活動地點的數據,司法部制定了一個《政府相關位置數據列表》的格式,未來表上列出的地理區域內的“精確地理位置數據”都屬于“政府相關數據”,不管是實時數據還是歷史數據。軍事基地、大使館或執法部門等很可能屬于這些地理區域。在決定是不是將把一個地理區域添加到《政府相關位置數據列表》時,司法部會和其他政府部門協商。
2、關于美國政府人員的數據,即與美國政府(包括軍隊和情報機構)的現任或近期前任雇員或承包商,或前任高級官員相關聯或可關聯的數據。“近期前任雇員或承包商” 是指在涵蓋的數據交易之前的 2 年內,有償或無償為美國政府工作或向美國政府提供服務的雇員或承包商。
二、受管轄的人員或實體
(一)關注國家
相比ANPRM,NPRM沒有變化,還是中國(包括香港和澳門)、古巴、伊朗、朝鮮、俄羅斯和委內瑞拉。
(二)涵蓋的人員或實體:
沒有變化:
-
由受關注國家直接或間接擁有50%或以上股權的實體,以及在受關注國家注冊或其主要業務地在受關注國家的實體(A);
-
由A、C或E涵蓋主體直接或間接擁有50%或以上股權的實體(B);
-
作為關注國家、A、B或E涵蓋主體的雇員或合同工的外國主體(C);
-
主要居住在關注國家領土管轄范圍內的外國主體(D);
-
美國司法部部長指定為由受關注國家擁有或控制,或受關注國家管轄或指導的主體,或是代表或聲稱代表受關注國家或相關人員行事的主體,或者是“故意”(知道或應知)導致或“引起”(決定、批準)違反相關規定行為的主體(E)。
三、受管轄的交易
由于NPRM的上位法是IEEPA,司法部只能從“交易”入手去實現限制數據跨境流動的目標,因此搞清楚受管轄的交易都有哪些至關重要。和ANPRM一樣,NPRM還是分成了“禁止的交易”和“限制的交易”。
(一)禁止的交易
和ANPRM相比基本沒有變化,包括:
(二)受限制的交易
和ANPRM保持一致,NPRM規定三類受限制的交易是供應商協議、雇傭協議和被動投資協議。ANPRM規定,這類交易需要按照國土安全部制定的后續規則采取安全措施,才能放行。和這次NPRM配套,國土安全部網絡和基礎設施保護局(CISA)在同一天發布了其擬議的安全要求,以供公眾評論。具體的安全要求包括網絡安全措施,如基本的組織網絡安全政策和實踐、物理和邏輯訪問控制、數據掩碼和最小化、加密和使用隱私增強技術。
NPRM還要求從事數據經紀的美國人和任何不是涵蓋人員或實體的外國人開展數據經紀業務時,須滿足某些條件,包括通過合同要求外國人不得將數據轉售或提供給關注國家或涵蓋人員或實體,從而解決數據被轉售或通過第三方轉移給關注國家以及涵蓋人員或實體的風險。
為了解決潛在的規避問題,NPRM還禁止美國人故意指導規避法規的交易,以及違反法規的共謀。值得注意的是,非美國人如果導致或共謀導致美國人違反該規則,也要受到懲罰。
(三)豁免的交易
和ANPRM相比,NPRM吸收公眾評論意見,增加了和臨床試驗數據、電信相關的兩類豁免,這樣具體的豁免交易就變成了:
-
金融服務、支付處理和監管合規相關的交易(如銀行業、資本市場或金融保險活動;其他監管機構監管范圍內的金融活動;提供或處理涉及個人財務數據或涵蓋個人身份標識轉移的支付,用于購買和銷售商品和服務;以及法律和監管合規);
-
美國跨國公司內部業務運營產生的數據交易(如用于人力資源管理、工資支付、稅費支付、外部審計、差旅、合規、風險管理等目的的交易);
-
美國政府及其承包商、雇員和資助人的活動(如聯邦資助的醫療和研究活動);
-
美國聯邦法律或國際協議所要求或授權的交易(如旅客名單信息、國際刑警組織發出的搜查令等);
-
不轉移任何價值的個人通信;涉及表達材料的信息材料的進口或出口(遵守伯曼修正案);以及旅行信息,包括有關個人行李、生活費用和旅行安排的數據;
-
和美國外國投資委員會(CFIUS)達成緩解措施協議后的投資協議,并且CFIUS明確要求將他們豁免;
-
通常偶然的和作為提供電信服務的一部分的交易,包括國際呼叫、移動語音和數據漫游。
-
交易涉及獲得或保持在關注國家監管批準藥品、生物制品、醫療設備或組合產品所必需的“監管批準數據”;或者是臨床研究和上市后監測數據的一部分,是為了收集或處理臨床護理數據以指示產品的實際性能或安全性,或支持或維持美國食藥監局授權所必需的上市后監測數據的一部分,前提是數據去標識化。
四、合規機制
(一)許可程序
NPRM司法部發布許可證,以授權在特定條件下開展某些類別的禁止或限制交易,并列出了發布一般和特定許可證的要求和程序,包括申請特別許可證或在許可證申請被否之后的復議程序。
(二)指導和咨詢意見
NPRM和ANPRM一樣,允許司法部發布一般公共指導以解決常見問題、發布咨詢意見以解決法規對特定交易的適用問題。
(三)內部合規項目
NPRM不會要求對所有的數據交易進行統一的盡職調查、記錄保存、報告或其他合規義務。相反,它借鑒了財政部外國資產控制辦公室(OFAC)管理的經濟制裁計劃,規定美國公司和個人可以根據各自的風險狀況,開發和實施合適的合規計劃。合規計劃的內容會因公司規模、業務復雜性、產品和服務、客戶和交易對手、以及地理位置等因素而有所不同。如果發生違規行為,司法部在執法過程中會考慮這些合規計劃是否充分。
NPRM為參與受限制交易的美國公司設立了明確的合規要求,包括制定全面的合規計劃,重點是基于風險的流程,例如驗證并記錄數據流動、敏感個人和政府數據的類型和數量、交易方身份、數據的最終用途和轉移方式,以及供應商身份等。此外,NPRM還要求指定負責官員或員工每年對數據安全和合規的書面政策進行認證,獨立審計師每年對合規性進行審查,并保存審計結果。為了確保符合CISA設定的安全標準,還需要維護與數據轉移、交易日期、協議、許可證、法律意見以及相關文件的記錄,并確保所有這些記錄的準確性,且保留時間不少于10年。
(四)報告要求
-
涉及云計算服務的美國公司或個人,如果有25%或以上的股份是由關注國家或相關人士直接或間接持有,每年需要提交報告。
-
任何美國公司或個人,如果他們收到并明確拒絕了涉及數據經紀業務的禁止交易要約,需要報告這一情況。
-
涉及與外國非相關方的數據經紀交易的美國公司或個人,如果他們知道或懷疑對方違反了關于轉售或將數據轉移至關注國家或相關人士的限制,也需要進行報告。
-
任何美國公司或個人,如果他們依賴某些數據交易的豁免,并聲稱這些交易是為了獲得或維持在關注國家市場上藥品、生物制品、設備或組合產品的監管批準,也需要提交報告。
五、執行
NPRM采取基于IEEPA的執行機制,賦予司法部廣泛的調查權力,包括調查、召開聽證會、檢查證據、詢問證人,并發出相關的傳票來獲取證人或文件。如果發生違規行為,可能會面臨民事和刑事處罰。
民事處罰受《聯邦民事處罰通貨膨脹調整法》的約束,最高可達368,136美元或交易金額的兩倍,取金額較高者為準。NPRM還規定了司法部處理違規行為和發布民事處罰的程序,允許相關各方在處罰發布前有機會進行回應。故意違規的后果更嚴重,可能導致高達100萬美元的刑事罰款,甚至最高20年的監禁。
六、和其他監管機制的關系
(一)和外國投資委員會(CFIUS)的互動
NPRM為涉及大量美國人敏感個人數據或政府相關數據的廣泛商業交易和投資協議設定了框架,尤其是涉及“關注國家”的交易。這些規則從一開始就對外國投資施加數據安全要求,作為對CFIUS(美國外國投資委員會)處理案件方法的補充。如果某筆交易還涉及CFIUS的管轄,NPRM的安全要求將繼續生效,直到CFIUS采取行動。如果CFIUS達成的緩解協議比NPRM更嚴格,那么CFIUS的要求將優先適用。
(二)與ICTS最終規則的互動
NPRM還涉及供應商協議,尤其是那些涉及信息和通信技術與服務(ICTS)的協議,這些協議可能受到商務部管理的ICTS最終規則約束。ICTS最終規則通常專注于由外國對手控制或影響的交易,這些交易可能對美國的國家安全構成風險。NPRM為這些交易設定了基本的安全要求,但如果商務部根據ICTS最終規則決定采取更嚴格的行動,那么商務部的要求優先適用。
七、其他一些重要澄清
(一)是否禁止外國對手的應用程序或社交媒體平臺?
不會直接禁止任何應用程序或社交媒體平臺,也不針對具體的應用或技術。它的重點是管理與敏感個人數據相關的風險,而不是所有數據或更廣泛的國家安全問題,如應用程序的安全性或虛假信息傳播。此外,NPRM主要關注由“關注國家”獲取的數據帶來的國家安全風險,而不涉及國內隱私問題。它明確排除了對表達性信息的監管,如視頻、藝術作品和出版物。
(二)是否管理美國國內的數據交易?
不涉及美國境內的純國內數據交易,除非相關的美國實體被明確公開列為“涵蓋的人”。換句話說,只有涉及國家安全的特殊情況才會觸發這些規則。
(三)是否賦予司法部新的監控權力?
不會賦予司法部新的權力來監控或追蹤美國人的數據。它與政府依法進行的執法和國家安全活動無關,且明確排除了對個人通信的監管。
本文僅供業內人士學習研究使用,不構成投資建議,轉載自“數智新媒”。
浙公網安備 33010502006954號 
